迫り来るクロスサイトスクリプティングのわな

Matt Hines(CNET News.com)

2005-03-15 20:56

 ネットワークセキュリティ企業Netcraftによると、セキュリティホールに対処していない銀行や企業のウェブサイトは、フィッシング攻撃の被害に遭う可能性が高いという。

 Netcraftが米国時間14日にサイトに掲示した報告によると、クロスサイトスクリプティングの脆弱性を利用して、悪質なコードをターゲット企業のウェブページやURLに挿入するオンライン犯罪が増加しているという。攻撃者は、クロスサイトスクリプティングの脆弱性を利用して、疑うことを知らないユーザーをフィッシング詐欺の被害に遭わせることができる。

 「従来のフィッシングサイトは嘘っぽく見えるものが多く、エンドユーザーでも識別できる場合が多かった」とNetcraftのインターネットサービス開発者Paul Muttonは述べる。「だがクロスサイトスクリプティングを利用した場合、企業のURLを使い続けられることから、攻撃者はユーザーを簡単にだますことができる。でも、そこには攻撃者によって追加されたコンテンツがある」(Mutton)

 クロスサイトスクリプティングの脆弱性を悪用することにより、攻撃者はウェブページにさまざまなコードを潜り込ませることができる。なかでも問題が大きいのはJavaScriptコードだ。攻撃者は、JavaScriptで作成したプログラムを企業のウェブページに挿入することが出来てしまう。

 先日も、Citizens Financial Groupのユーザーがこの攻撃の犠牲になったと、Netcraftは述べている。このケースでは、ユーザーは、手元に届いたフィッシングメールに記載されたリンクを通して、Citizens Financial Groupのサイトに悪質なスクリプトを含んでアクセスするように仕向けられていた。そして、ユーザーは偽のウェブサイトへと誘導され、個人情報の入力を求められた。

 NetcraftのMuttonは、企業が自社のサーバアプリケーションを点検してクロスサイトスクリプティングの脆弱性に対処しない限り、今後もこのような攻撃は増えるだろうと予想する。点検作業自体は複雑なものではなく、時間がかかるだけだ、とMuttonは続けた。

 また、Muttonは、フィッシング攻撃でターゲットにされることが多い銀行は、このクロスサイトスクリプティング問題に対してほとんど対策をとっていない点も指摘した。

 「クロスサイトスクリプティングは、犯罪の温床となっている。銀行が対策に着手しないのは大きな問題だ」(Mutton)

 クロスサイトスクリプティングは、オンラインオークションサイトのeBayなどが標的とされたフィッシングの手口とは異なると、Muttonは説明する。eBayなどを狙ったフィッシングの手口は、正規ウェブサイトを閲覧しようとしたユーザーを悪質なウェブサイトにリダイレクトするというものだった。これとは対照的に、クロスサイトスクリプティングの場合、攻撃者はパスワードを入力させるための偽のログインページを、まったく正当な企業のウェブページに追加することができる。

 また、クロスサイトスクリプティングの脆弱性を悪用すると、攻撃者は ユーザーのPCに保存されたCookieを簡単に盗み取ることもできるという。Cookieは、ウェブサイトにログインするためのパスワードやインターネット利用情報などの個人情報を含んでいることが多い。

 Muttonによると、この脆弱性を悪用した攻撃の多くは、金融機関を標的にしているという。この傾向は今後も継続するとMuttonは見ている。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  3. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]